ag48665/Threat-Hunting-Lab

# 威胁狩猎实验室 ## 概述 本项目展示了使用 Splunk Enterprise 和 Sysmon 遥测数据进行威胁狩猎的活动。 目标是主动识别可疑行为，调查潜在威胁，并使用真实的 Windows 事件数据验证发现结果。 ## 环境 | 组件 | 详细信息 | | ------------------- | ---------------------- | | SIEM | Splunk Enterprise 10.4 | | 端点监控 | Sysmon | | 操作系统 | Windows 11 | | 框架 | MITRE ATT&CK | # 狩猎场景 ## 1. PowerShell 活动狩猎 ### 目标 识别可能表明攻击者活动的 PowerShell 执行。 ### SPL 查询 ``` index=* sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" | search "powershell.exe" ``` ### 结果 成功识别了 PowerShell 进程执行事件。  ## 2. 命令提示符活动狩猎 ### 目标 识别命令行执行活动。 ### SPL 查询 ``` index=* sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" | search "cmd.exe" ``` ### 结果 检测并分析了命令提示符的执行情况。  ## 3. 账户发现狩猎 ### 目标 识别攻击者常用的账户枚举技术。 ### SPL 查询 ``` index=* sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" ("whoami.exe" OR "net.exe") ``` ### 结果 成功识别了账户发现活动。  ## 4. 网络连接狩猎 ### 目标 识别由端点上的进程创建的出站网络连接。 ### SPL 查询 ``` index=* sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" | search "3" ``` ### 结果 检测并审查了 Sysmon 网络连接事件 (Event ID 3)。  ## 5. 文件创建狩猎 (MITRE ATT&CK T1105) ### 目标 识别可能表明 payload 投递或恶意软件暂存的文件创建活动。 ### SPL 查询 ``` index=* sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" | search "11" ``` ### 结果 成功识别了 Sysmon 文件创建事件 (Event ID 11)。  ## MITRE ATT&CK 映射 | 技术 ID | 技术 | | ------------ | ------------------------------------ | | T1059.001 | PowerShell | | T1087 | 账户发现 | | T1105 | 远程工具传输 (Ingress Tool Transfer) | | T1049 | 系统网络连接发现 | | T1059.003 | Windows 命令行 (Windows Command Shell) | ## 展示技能 * 威胁狩猎 * Splunk SPL * Sysmon 分析 * Windows 事件分析 * 检测工程 * MITRE ATT&CK 映射 * 安全监控 * 事件调查 ## 作者 Agata Gabara 网络安全 | SOC 分析师 | 威胁猎人 GitHub: https://github.com/ag48665

标签：Sysmon, 安全, 安全实验室, 管理员页面发现, 超时处理